Аналог шифрования нтфс?

да хоть на самом, этом, оффтопике, да. тут не в драйвере совсем вопрос.

> а ты попробуй с ядреным NTFS драйвером, а не FUSE прокладкой.

О боже... Голова на плечах есть? Прислать зашифрованный текстовый файл, из которого надо будет достать содержимое?

не, на самом деле я подозреваю, вернее даже на 99% уверен, что у фбр есть мастер сертификат и все отлично достается. вот только 100% что со мной они не поделятся =)

Ну это уже совсем другая песня. Хотя я как раз не очень верю в такую возможность (точнее, в наличие абсолютно универсального сертификата).

> Вот что меня всегда раздражает в Linux-сообществе - так это заметное количество людей, ненавидящих Windows

А за что ее любить? Более того, фанбои виндофс обычно требуют, чтобы было «как в винде». Ключевой файл для dmcrypt шифрования может быть на внешнем носителе — NTFS такое умеет? Удаленно расшифровываться как encfs over sshfs умеет? Или все сомнительное достоинство заключается только в наличии сертификата?

Я признаю, что на момент своего появления NTFS была весьма передовой файловой системой, а за годы использования код, видимо, избавился от всех сколь-нибудь частых ошибок. Однако линуксовые ФС (и не только линуксовые) давно переплюнули ее по возможностям, хотя, надо признать, единой ФС, превосходящей ntfs по всем статьям нет. Однако есть кластерные и распределенные ФС, ФС со снапшотами, COW-системы, можно выбирать уровни шифрования (блочное/файловое), на некоторых, даже, говорят есть сжатие :), контроль целостности метаданных и данных, дедупликация и т.п.

А ещё многие не умеют читать, да. По пунктам:

А за что ее любить?

Я не говорил, что её нужно любить. Я говорил, что её нужно знать для того, чтобы что-то про неё говорить.

Более того, фанбои виндофс обычно требуют, чтобы было «как в винде».

Это как относится к делу?

Ключевой файл для dmcrypt шифрования может быть на внешнем носителе — NTFS такое умеет?

А вот именно об этом я и говорил. Мсье, видимо, не в курсе, что сертификаты можно хранить на внешних носителях? Например, на eToken? Которые, кстати, и в Linux поддерживаются и отлично работают?

Удаленно расшифровываться как encfs over sshfs умеет?

Мсье, видимо, не в курсе, что eToken (не всегда и с определёнными ограничениями - но тем не менее) можно подключать с удалённой машины?

Мсье стоит ОЧЕНЬ ВНИМАТЕЛЬНО прочитать сообщение, на которое он отвечал.

> Я признаю,... (остальное поскипано)

Какое это отношение имеет к теме?

не стоит нападать на «как в винде». мне интересен момент чтобы никто кроме пользователя зашифровавшего файлик не мог его просто так получить, даже если пользователь сейчас с файликом работает, кроме как сдампив из оперативки.

к сожалению, на данный момент я вижу выход тут только в написании своей системы шифрования. и то не факт что оно реализуемо с данной организацией ядра и прав доступа ибо странно, что такой системы еще нет.

на форуме довольно периодически появляются вопросы о том как дать пользователю свой секьюрный каталог из которого даже рут данные не стибрит - из решений только костыли с выпиливанием рута/селинуксом

засим считаю тему закрытой, если реализация все таки существует - пишите.

п.с. ключевой файл в винде называется сертификат, бери куда хошь, ставь пароль какой хошь. как шифровать/расшифровывать удаленно написал выше.

п.п.с GotF - ты хочешь в толкс.

> Мсье, видимо, не в курсе, что сертификаты можно хранить на внешних носителях? Например, на eToken? Которые, кстати, и в Linux поддерживаются и отлично работают?

Я не знаю, что такое etoken и, главное, не вижу в них никакой необходимости, вроде как «шифрования» встроенного в HDD. Никакого доверия закрытым продуктам быть не может.

> Более того, фанбои виндофс обычно требуют, чтобы было «как в винде».

Это как относится к делу?

Не я первый вылез с обобщением про «линуксфанбоев». Получите ответное обобщение. И не надо удивленно вскидывать брови: ты сам ведешь себя как унылый фанбой, только конкурирующей системы

то eToken (не всегда и с определёнными ограничениями - но тем не менее)

Квиты

Мсье стоит ОЧЕНЬ ВНИМАТЕЛЬНО прочитать сообщение, на которое он отвечал.

Я прочел и настолько внимательно, что увидел желание оскорбить этих «линуксфанбоев» слегка прикрывшись техническими аргументами.

> Какое это отношение имеет к теме?

примерно такое же, как тема — к тематике сайта.

> не стоит нападать на «как в винде». мне интересен момент чтобы никто кроме пользователя зашифровавшего файлик не мог его просто так получить, даже если пользователь сейчас с файликом работает, кроме как сдампив из оперативки.

Это ограничение тянет на искусственное. Ни один идиот не будет ломать шифрование никаким образом, если есть возможность сдампить нешифрованное. Поэтому тема — сплошной тонкий троллинг. encfs over sshfs полностью решает твои проблемы, однако ты продолжаешь. Вывод из этого я уже озвучил

> на форуме довольно периодически появляются вопросы о том как дать пользователю свой секьюрный каталог из которого даже рут данные не стибрит - из решений только костыли с выпиливанием рута/селинуксом

А в винде, значит, дамп кто-то помешает руту (ой, простите, администратору) сделать? Ты не понимаешь, что ты хочешь, кроме того, «чтобы было как в финдофс»

> Я прочел и настолько внимательно, что увидел желание оскорбить этих «линуксфанбоев» слегка прикрывшись техническими аргументами.

Сочувствую. Идите учиться читать (в широком смысле - надо не просто уметь сложить буквы в слова, а ещё и смысл понять; вам это не удалось) и повторять курс логики (её применять вы тоже не умеете).

P.S. На всякий случай - в те самые «линуксфанбои» (я такого термина не употреблял), которых я якобы оскорбил (докажите, если сможете - для этого вам придётся найти в моём сообщении хоть одно утверждение, не соотыветствующее действительности) вы себя записали сами, наглядно проиллюстрировав правоту сказанного мной своим невежеством.

> А в винде, значит, дамп кто-то помешает руту (ой, простите, администратору) сделать?

Учимся читать, а не складывать буквы в слова. Ткнуть носом в конкретную глупость - или самостоятельно найдёте?

Не буду я с тобой спорить. Ты вылез с высокомерными обобщениями, слегка прикрытыми техническими аргументами. Теперь залезь обратно и не свети.

> Учимся читать, а не складывать буквы в слова. Ткнуть носом в конкретную глупость - или самостоятельно найдёте?

Интересно, как прикладные программы с расшифрованными данными работают? Через либатсрал?

> Не буду я с тобой спорить.

Чтобы со мной спорить, надо быть более умным. Пока что этого не видно - зато видна попытка соскочить. Ведь несоответствия моих слов действительности предъявлено не было, не так ли? И не потому ли, что такого несоответствия не удаётся найти? Ж;-)

> Чтобы со мной спорить, надо быть более умным.

Чтобы продираться через твои цитаты из мс буклетиков? Спасибо, я себе поинтереснее занятия найду.

Но для «мыслителей» штампами повторю: в линуксе решения для разумно поставленных задач есть. Задача «как не дать руту зайти в каталог, но пусть читает из памяти» не есть корректно поставленная, хотя бы потому, что рут <> адимнистратор в винде (а равен System), а во-вторых, один вектор атаки отсекается, а другой, не менее вероятный почему-то игнорируется. Это не безопасность, а херня какая-то. Как впрочем, и многое в винде.

Ладно, милейший. Вы таки меня достали. Будьте любезны объяснить, как из этого:

П.С. то что расшифрованный файл можно вытащить из оперативки не важно.

и вот этого:

мне интересен момент чтобы никто кроме пользователя зашифровавшего файлик не мог его просто так получить, даже если пользователь сейчас с файликом работает, кроме как сдампив из оперативки.

а также полного отсутствия утверждений типа «в Windows содержимое файла из памяти не вытащить» в ветке, можно высосать сырьё для столь глупого высказывания:

А в винде, значит, дамп кто-то помешает руту (ой, простите, администратору) сделать?

Попытайтесь ответить на эти вопросы перед тем, как в очередной раз писать глупости.

> Чтобы продираться через твои цитаты из мс буклетиков? Спасибо, я себе поинтереснее занятия найду.

(остальное поскипано, как несусветная глупость)

Учимся читать и понимать прочитанное.

> Попытайтесь ответить на эти вопросы перед тем, как в очередной раз писать глупости.

Смотрю, мальчик, ой, простите, специалисть МС сам с чтением имеет проблемы. То-то смотрю, чего он на него так напирает...

Еще раз, медленно: от какого типа атаки защищаются требованием «нельзя войти в каталог, но можно читать из памяти»? Если что, fuse не позволяет войти в кактлог руту, нужно делать su в нужного пользователя. Но su существует и в винде со времен Resourse Kit для NT 4.0 (зовущаяся там runas), так что таким же макаром делаем su в нужного пользователя и если тот уже расшифровал каталог для работы спокойно читаем.

Картинка в тему: http://turbo.paulstamatiou.com/uploads/2007/03/outpost_firewall_review1.jpg

> (остальное поскипано, как несусветная глупость)

Приемы полемики, когда просрал, вижу уже освоил. «Спесиалистьты» от МС, они такие, самое страшное, что могут сделать — угрожать побить сертификатом.

> Еще раз, медленно: от какого типа атаки защищаются требованием «нельзя войти в каталог, но можно читать из памяти»?

От того, который интересен открывшему тему, нет? Вопрос глуп - вы, милейший, придумали себе аргумент, который никого не интересовал, никем не упоминался и не рассматривался, и пытаетесь запихать во все дырки. Причём вы даже не смрожете по шагам внятно расписать, как вы к нему пришли.

Совет остаётся прежним, ответьте на вопрос перед тем, как писать глупости. Добавлю ещё, пожалуй:

1. Как вся вылитая вами тут чушь относится к моей ремарке на тему психологических особенностей части Linux-сообщества (к которой, кстати, и вы относитесь)? 2. Как утверждение, одинаково справедливое для Windows и Linux (именно такое вы тут толкаете за какую-то светлую истину нам, темноте деревенской), доказывает преимущество одной из этих ОС?

Думаю, у вас есть часа два с половиной-три, чтобы хорошо подумать и не ляпнуть очередных глуполстей. Я пока доеду до дому, поужинаю, разберусь со всякими мелкими делами - а потом посмотрю, есть у вас перспективы, или вы безнадёжны.

> > (остальное поскипано, как несусветная глупость)

Приемы полемики, когда просрал, вижу уже освоил.

Логику учите, логику. Вы не ответили ни на один заданный мной вопрос - но обвиняете меня в попытках увиливать? Да вы клоун, батенька - причём очень глупый. Ведь ход беседы легко можно прочитать.

Впрочем, может быть, дело в том, что ваша манера ведения беседы отлично ложится в определение так называемой «женской логики»? Тгогда, конечно, мои советы бесполезны. Ж;-)

> так что таким же макаром делаем su в нужного пользователя и если тот уже расшифровал каталог для работы спокойно читаем

видимо тут неувязочки:
1. доступ к файлам прозрачен для приложений, расшифрованный файл есть только в оперативке. каталог полностью не расшифровывается, поэтому стибрить из памяти можно только файл с которым ведется работа тупым приложением держащем его в расшифрованном виде. хотя приложения которым это нужно не держат расшифрованный файл в оперативке, тем более целиком.
2. сделать ранэз не зная пароля целевого пользователя не получится

да, меня бы устроила полноценная поддержка шифрования в нтфс-3ж. да вот видимо не могут они этого сделать.

хм. вы интересную задачу поставили... Вставлю свои 5 копеек. Я считаю, что для систем, где такая безопасность действительно критична стоит объединить существующую систему шифрования под Linux(ecryptfs или dm-crypt, не столь важно) с какой-нибудь мандатной системой контроля доступа(но только не с SELinux, упаси Господи юзать его, не осилил писать под него модули в генте, чесслово). Запрещаем руту делать su, разрешаем setuid где нужно, запрещаем руту(но не администратору RBAC, хе-хе) делать passwd и вообще иметь доступ к /etc/shadow. Профит. Правда данные действия по настройке довольно затратны по времени, но решают вашу задачу наиболее полно...

а теперь внимание, вопрос:
каким образом запретить руту делать су и смотреть шэдоу? да даже селинукс прибить при наличии рутового доступа? ну не будет су, например, так рут его просто соберет/скопирует откуда надо. переименует в случае с аппармор, хе-хе.

все это решения из разряда забивать гвозди телескопом, вместо прозрачного доступа к файлам по двум паролям - поставим пулеметы и минные поля с колючей проволокой для остальных.

п.с. на такую задачу нарывается каждый кому нужно защититься от «произвола» со стороны рута, странно что из решений пока только костыли.
как наиболее примлемый костыль - encfs для каждого файла с автомонтированием и минимальным таймаутом, но это будет эпическая туча каталогов.

>каким образом запретить руту делать су и смотреть шэдоу?

man grsecurity

рут его просто соберет/скопирует

вместо прозрачного доступа к файлам по двум паролям

ты опять все ставишь с ног на голову. рут по-умолчанию - царь и бог в системе и задача в чем-либо его ограничить изначально нетривиальна

Делал подобное, с важным отличием - перед вводом в «бой» в системе просто была ликвидирована возможность работать под рутом.